Escape string/Sjekke for injections

15. oktober 2006

Hei!

Ofte når jeg koder i php så lurer jeg på hva som må til for å få scriptet helt sikkert for forsjellige injections i felt hvor brukerne osv poster..

Så hva bruker dere å gjøre?

Er det en class elns som jeg kan laste ned og bruke som sjekker for det meste slik at det blir -helt- sikkert?

Takk!

▼ ... over en uke senere ... ▼

shrty

26 4

25. oktober 2006

mysql_escape_string();

▼ ... over en uke senere ... ▼

dassmongo

464 45

2. november 2006

Kode

function filter($data) 
{
    if(get_magic_quotes_gpc()) 
    {
        $data = stripslashes($data);
    }
    $data = mysql_real_escape_string($data);
      
    return $data;
}

Sist endret av dassmongo; 2. november 2006 kl. 14:17.

TanteSpiker

1.923 229

2. november 2006

Hjelper dette mot HTML tags også?

Provo

5.579 14.200

3. november 2006

Kode

$data = strip_tags($data [, evt. lovlige tags]);

fjerner all html etc.

Kode

$data = htmlspecialchars($data);

gjør om de vanligste problem-tegn om til html-entiteter.

dassmongo

464 45

3. november 2006

Nei men du kjører gjerne ikke strip_tags() eller htmlspecialchars() der, men heller når du skal ha data'en ut.

Kode

<?php

/*
Filters input/output-data.
*/

class FilterClass
{

  //Input-data
  Public function filter_in($data) 
  {
      if(get_magic_quotes_gpc()) 
      {
          $data = stripslashes($data);
      }
      $data = mysql_real_escape_string($data);
      
      return $data;
  } 
  
  //Output-data
  Public function filter_out($data)
  {
      $data = stripslashes($data);
      $data = htmlspecialchars($data);
      $data = wordwrap($data, 70, "\n", 1); 
      $data = nl2br($data);
      
      return $data;
  }
  
}

?>